Professional Documents
Culture Documents
PSD Seminarski
PSD Seminarski
UVOD
ISTORIJA STANDARDA
Prva verzija teksta ovog strandarda BS 7799 se usvaja 1995. godine, a 1998. godine dobija
svoju prvu zvaničnu reviziju. BSI nedugo po objavljivanju prvog, prateći brz razvoj interneta,
objavljuje i drugi deo standarda BS 7799.
Međunarodna organizacija za standardizaciju ISO prihvata ove standarde i u junu 2005. godine
objavljuju drugu verziju standarda koja se zvala ISO 17799 Informacione tehnologije – bezbednost
tehnike – Načela upravljanja bezbednošću informacija. Standard ISO 27001 se objavljuje u oktobru
2005. godine pod nazivom Informacione tehnologije – Sistemi upravljanja bezbednošću
informacija – Zahtevi. ISO / IEC 27001 Sistemi menadžmenta bezbednošću informacija –
sigurnosni standard (27001: 2015 objavljen 25. Sep 2013 i zamjenjuje ISO / IEC 27001: 2005).
Ovaj standard je objavljen od strane Međunarodne organizacije za standardizaciju (ISO) i
Međunarodne elektrotehničke komisije (IEC) pod zajedničim nazivom ISO/IEC 27001:2013 i
opisuje kako upravljati bezbednošću informacija u organizacijama. On predstavlja specifikacije za
sistem za upravljanje sigurnošću informacija (ISMS). Organizacije koje ispunjavaju standard mogu
biti sertifikvane od strane nezavisnog i akreditovane sertifikacionog tela uz uspešan završetak
procesa formalne revizije i ispunjenosti uslova. ISO/IEC 27001:2013, u punom nazivu,
Informacione tehnologije – Tehnike bezbednosti – Sistemi menadžmenta bezbednošću informacija
– Zahtevi (eng. Information technology – Security techniques – Information security management
systems – Requirements) je međunarodni standard koji daje zahteve za ISMS – Sisteme
Menadžmenta Bezbednošću Informacija.
Najnovija verzija ovog standarda je objavljena 2013. godine, te je sadašnji puni naziv ISO/IEC
27001:2013.
Standard ISO 27001 je značajan za sve oragnizacije koje se bave uslugama koje su povezane sa
Informacionim tehnologijama i imaju potrebu za očuvanjem poverljivosti informacija.
U daljem tekstu prikazani su termini i definicije koje se primenjuju u standardu ISO 270011:
• Imovina (asset)
Sve ono što ima vrednost za organizaciju.
[ISO/IEC 13335-1:2004]
• Raspoloživost (availability)
Svojstvo dostupnosti i upotrebljivosti na zahtev ovlašćenog entiteta.
[ISO/IEC 13335-1:2004]
• Poverljivost (confidentiality)
Svojstvo da informacija ne može biti dostupna ili vidljiva neovlašćenim osobama,
entitetima ili procesima.
[ISO/IEC 13335-1:2004]
• Bezbednost informacija (informacion security)
Očuvanje integriteta, poverljivosti i raspoloživosti informacija. Druga svojstva su
verodostojnost, pouzdanost, nadležnost i neporecivost.
[ISO/IEC 17799:2005]
• Događaj u vezi sa bezbednošću informacija (informacion security event)
Pojava u sistemu, usluzi ili stanju na mreži koja ukazuje na moguće narušavanje politike
bezbednosti informacija ili na otkazivanje zaštite ili situacija koja prethodno nije bila
poznata i koja se može odnositi na bezbednost.
[ISO/IEC TR 18044:2004]
• Incident narušavanja bezbednosti informacija (information security incident)
Jedan ili niz neočekivanih događaja u vezi sa bezbednošću informacija za koje postoje
znatni izgledi da će kompromitovati poslove aktivnosti i zapretiti bezbednosti informacija.
[ISO/IEC TR 18044:200]
• Sistem menadžmenta bezbednošću informacija (information security management system)
Deo ukupnog sistema menadžmenta, koji se zasniva na pristupu poslovnom riziku,
uspostavljanje, implementiranje, primenjivanje, praćenje, preispitivanje, održavanje i
poboljšavanje bezbednosti.
• Integritet (integrity)
1
Tatić,V., 2013: 8-10
Svojstvo zaštite ispravnosti i kompletnosti imovine.
[ISO/IEC 13335-1:2004]
• Preostali rizik (residual risk)
Rizik koji ostaje nakon postupanja sa rizikom.
[ISO/IEC 13335-1:2004]
• Prihvatanje rizika (risk acceptance)
Odluka da se rizik prihvati.
[ISO/IEC Guide 73:2002]
• Analiza rizika (risk analysis)
Sistematsko korišćenje informacija da bi se identifikovali izvori i procenio rizik.
[ISO/IEC Guide 73:2002]
• Ocenjivanje rizika (risk assessment)
Sveobuhvatni proces analize i vrednovanje rizika.
[ISO/IEC Guide 73:2002]
• Menadžment rizikom (risk managemet)
Koordinisane aktivnosti usmeravanja i kontrolisanja u nekoj organizaciji u vezi sa rizicima.
[ISO/IEC Guide 73:2002]
• Postupanje sa rizikom (risk treatment)
Proces izbora i implementacije mera-kontrola kako bi se rizik modifikovao.
[ISO/IEC Guide 73:2002]
Napomena: U ovom standardu termin „kontrola“ se koristi kao sinonim za „mera“.
• Izjava o primenjivosti (statement of applicability)
Dokumentovana izjava koja opisuje ciljeve kontrola i kontrole koje su relevantne i
primenjive na ISM organizacije.
• uspostavljanje ISMS,
• implementaciju ISMS,
• primenu ISMS,
• praćenje ISMS,
• preispitivanje ISMS,
• održavanje ISMS,
• poboljšavanje ISMS.
Izvori pretnji po bezbednost informacija mogu biti interni ili eksterni i namerni ili
nenamerni. Najčešći incidenti informacione bezbednosti su prirodne nepogode (zemljotres,
poplava, požar, udar groma), zlonamerni napadi (malware), interni napadi (zloupotrebe),
nenamerne, nesvesne ljudske greške, kvarovi opreme i/ili instalacija informacionog sistema.
Sigurnosne mere koje će se implementirati su obično u formi pravila, procedura i tehničkih rešenaja
(npr. softvera i opreme). Međutim, u većini slučajeva organizacije već imaju sav potreban hardver
i softver, ali ih koriste na nesiguran način – zato se većina primene ISO 27001 odnosi na uspostavu
organizaciskih propisa (tj. pisanje dokumenata) koji su neophodni da bi se sprečilo narušavanje
sigurnosti – bezbednosti informacija.
SERTIFIKACIJA
Postoje dve vrste ISO 27001 sertifikata: (A) za organizacije i (B) za pojedince. Organizacije
se mogu sertifikovati da bi dokazale usklađenost sa svim obaveznim klauzulama standarda.
Pojedinci mogu izvršiti obuku i položiti ispit da bi dobili sertifikat. Da bi se sertifikovala
organizacija, mora se implementirati standard kako je navedeno, i potom proći sertifikacijski audit
od strane nezavisnog sertifikacionog tela.
• Faza 2 (glavni audit) – auditori će izvršiti audit na licu mesta kako bi proverili da li su sve
aktivnosti organizacije usklađene sa ISO 27001. (Nadzor – nakon izdavanja sertifikata,
tokom perioda važnosti od 3 godine, auditori će proveriti minimu još 2 puta da li
organizacija održava sistem upravljanja bezbednošću).
ZAKLJUČAK
Postoje 4 ključne poslovne prednosti koje organizacija može postići sa primenom ovog standarda:
1. Zadovoljavanje pravnih zahteva – postoji sve više zakona, propisa i ugovornih zahteva u
vezi informacijske sigurnosti, a dobra vest je da se većina može rešiti primenom ISO 27001
– ovaj standard pruža savršenu metodologiju za usklađivanje sa svima njima.
3. Niži troškovi – temeljna filozofija ISO 27001 je sprečavanje sigurnosnih incidenata; a svaki
incident, mali ili veliki, košta – dakle, sprečavajući incidente organizacija će uštedeti dosta
novca.
Značajne su koristi koje model ISO 27001 za uređenje Sistema menadžmenta bezbednošću
informacija ostvaruje organizacijama koje se odluče da ga implementiraju, pre svega u smislu
poboljšavanja svojih organizacionih performansi. Izvesno je da ovaj model predstavlja najbolju
praksu u oblasti zaštite i bezbednosti informacija koja je pretočena u zahteve standarda. Primenom
ISO 27001 standarda i sertifikacijom takvog sistema, organizacije ostvaruju brojne dobiti.
LITERATURA
http://www.totalquality.rs/iso-27001.html
http://iso.org.rs/iso-27001/
http://imskonsalting.com/usluge/iso-27001
http://www.academia.edu/5693491/ISMS_-_IT_Security_Management_-
_Bezbednsot_Informcionih_sistema_-_skripta_-_srpski